centos7.x下环境搭建(五)—nginx搭建https服务
https证书获取
十大免费SSL证书
https://blog.csdn.net/ithomer/article/details/78075006
如果我们用的是阿里云或腾讯云,他们都提供了免费版的ssl证书,我们直接下载就可以了,这里我使用的是阿里云提供的免费证书
修改nginx配置
1、在nginx安装目录下创建cert目录并将.pem和.key的证书拷贝到该目录下
.crt文件:是证书文件,crt是pem文件的扩展名。
.key文件:证书的私钥文件
2、nginx.conf配置
如果我们需要配置多站点的话,我们在根目录下创建一个vhost目录,并新建.conf结尾的文件,加入以下内容
server {
listen 443 ssl;
server_name test.test.cn;
ssl_certificate /etc/nginx/cert/2283621_test.cn.pem;
ssl_certificate_key /etc/nginx/cert/2283621_test.cn.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-Ip $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://localhost:7001;
}
}
然后修改nginx.conf配置文件,并在http节点里面最后一行添加如下配置
include /etc/nginx/vhost/*.conf;
这样在配置多站点的时候,我们就直接可以在vhost下新建一个.conf结尾的文件就行了
3、转发80端口到https
配置完https之后,默认端口是443,但如果使用http请求的话,并不会跳转到https,这时候我们需要将80端口转发到https上面来
添加80端口监听listen 80
server {
listen 80;
listen 443 ssl;
server_name love.diankr.cn;
ssl_certificate /etc/nginx/cert/2283621_test.cn.pem;
ssl_certificate_key /etc/nginx/cert/2283621_test.cn.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-Ip $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://localhost:7001;
}
}
这样在访问http://开头的地址的时候会自动跳转到https地址下
添加iptables规则开放80和443端口
nginx安装完之后除了需要开放80端口之外,还需要开放443端口
#添加以下iptables规则开放80端口
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
#iptables添加2条规则用于开放443端口
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
规则1用于放行客户端请求https服务的报文
规则2用于放行https服务器发送给客户端的报文
查看nginx错误日志
tail -f -n 20 /var/log/nginx/error.log
问题总结
1、nginx: [warn] the "ssl" directive is deprecated的解决方法
这是一个warn警告,nginx提示ssl这个指令已经不建议使用,要使用listen ... ssl替代。网上查找nginx更新日志里面,也有提到:
Change: the “ssl” directive is deprecated; the “ssl” parameter of the “listen” directive should be used instead.
ssl不建议作为一个指令使用,而是应该listen指令的一个参数。
解决
如果使用listen 443 ssl,删除ssl on就行了。
2、在配置好ssl之后,以及将443端口添加到了阿里云的安全组,浏览器访问最终还是无法访问,提示拒绝了请求链接
分析之后发现还是跟防火墙有关系
解决
#清除系统中防火墙默认规则
iptables -F
参考阅读
https://www.jianshu.com/p/8ae92227c4fe
https://help.aliyun.com/knowledge_detail/95491.html?spm=5176.2020520163.cas.33.4f7dfDOHfDOHtD
文章出处:https://www.cnblogs.com/fozero
声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。